《Windows Azure Platform 系列文章目錄》
Azure Virtual Desktop在創建完畢後,用戶通過Web Portal:https://rdweb.wvd.azure.cn/arm/webclient/index.html。可以通過瀏覽器訪問任意資源。
如果我們想限制AVD虛擬機可訪問的網站地址,我們可以結合Azure Firewall來進行限制。
實現原理說明:
在Azure AVD虛擬網絡所在的子網,設置路由,當AVD的虛擬機訪問的地址是0.0.0.0/0 ,即所有流量,都指向到Azure Firewall的內網IP地址,進行流量清洗
1.首先我們準備一個虛擬網絡
- subnet-1,創建Windows Server域控制器
- subnet-2,創建AVD虛擬機
- AzureFirewallSubnet,創建Azure防火牆
2.創建Azure資源,如防火牆等,記錄下Azure防火牆的內網IP地址 (172.0.2.4)。如下圖:
3.創建Azure路由表,與subnet-2關聯(即AVD所在的虛擬網絡子網)。如下圖:
4.配置路由表的路由,指向到Internet (0.0.0.0/0)的流量,都指向到Azure防火牆的內網IP地址 (172.0.2.4)
5.配置Azure 防火牆的規則,具體請參考:
https://docs.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop
首先配置network rules
| Name | Source type | Source | Protocol | Destination ports | Destination type | Destination |
|---|---|---|---|---|---|---|
| Rule Name | IP Address | AVD所在虛擬網絡子網的subnet ip | TCP | 80 | IP Address | 169.254.169.254, 168.63.129.16 |
| Rule Name | IP Address | AVD所在虛擬網絡子網的subnet ip | TCP | 443 | Service Tag | AzureCloud, WindowsVirtualDesktop |
| Rule Name | IP Address | AVD所在虛擬網絡子網的subnet ip | TCP, UDP | 53 | IP Address | * |
| Rule name | IP Address | AVD所在虛擬網絡子網的subnet ip | TCP | 1688 | IP address | 23.102.135.246 |
==========================================我是分隔符=======================================
==========================================這裏介紹配置Firewall白名單==========================
6.我們假設只能訪問*.baidu.com,具體的配置如下:
| Name | Source type | Source | Protocol | Destination type | Destination |
|---|---|---|---|---|---|
| Rule Name | IP Address | AVD所在虛擬網絡子網的subnet ip | Https:443 | FQDN Tag | WindowsVirtualDesktop, WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService |
| Rule Name | IP Address | AVD所在虛擬網絡子網的subnet ip | Http:80,Https:443 | FQDN Tag | *.baidu.com |
請注意上面的Action爲Allow,具體截圖如下:
7.通過web portal訪問avd: https://rdweb.wvd.azure.cn/arm/webclient/index.html
當我們在avd環境裏,訪問百度的子域名 (www.baidu.com 或者cloud.baidu.com) 都是允許的
但是訪問其他網站,比如qq.com, bing.com, sina.com等,都是拒絕訪問的
==========================================我是分隔符=======================================
==========================================這裏介紹配置Firewall黑名單==========================
8.如果要設置黑名單的話,需要在Application Rule設置如下:
- Priority ID爲200的優先生效,首先拒絕訪問qq和baidu
- Priority ID爲1000的其次生效,允許訪問所有網站
具體配置如下:
9.我們在AVD環境裏,驗證效果如下。不能訪問baidu和qq,但是可以訪問其他網站
- 配置Azure 防火牆的規則,具體請參考:
https://docs.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop